Il selvaggio mondo del malware: come proteggere la vostra azienda dall'interno

Transcript

1 Il selvaggio mondo del malware: come proteggere la vostra azienda dall'interno Le minacce sono in continua evoluzione, ma la vostra protezione firewall potrebbe non essere più all'altezza. È giunta l'ora di guardare oltre le soluzioni tradizionali di sicurezza di rete e integrare la protezione contro il malware e gli exploit che attraversano PC e dispositivi mobili quando gli utenti navigano in Internet, inviano o ricevono e scaricano applicazioni.

2 Poiché il numero e la gravità dei crimini informatici continua ad aumentare, è importante conoscere i vari tipi di malware e capire come funzionano. Ciò riguarda in particolare le piccole e medie imprese, che in genere non dispongono di personale IT dedicato esclusivamente alla sicurezza della rete. Questo documento esamina i fattori alla base dello sviluppo del malware attuale, ne analizza le caratteristiche, illustra il modo in cui si manifestano in rete e spiega come rimediare ad ogni tipologia di malware. Benché i nomi di molte forme di malware potrebbero suonare familiari, essi continuano a evolversi mentre le contromisure volte ad eliminarli obbligano all'adattamento. Oggi l'adattamento è condotto da criminali professionisti. Pur essendovi ancora dei dilettanti che cercano di impressionare i loro amici o che semplicemente si divertono a codificare e rilasciare malware di vario genere. Di gran lunga più pericolose sono tuttavia le bande criminali organizzate e transnazionali che distribuiscono il malware a scopo di lucro. Questi schemi comprendono: Estorsione, con il blocco o l'interruzione dell'uso dei computer e la successiva richiesta di denaro per rimuovere l'interruzione. Spesso questi attacchi assumono la forma di una falsa scansione del computer e la vendita di un altrettanto inutile software "antivirus". Questa tecnica può essere utilizzata per raccogliere informazioni relative alla carta di credito. Talvolta il software acquistato è uno "scareware ", che spinge a effettuare ulteriori acquisti o continua a esigere pagamenti per "abbonamenti". Furto, con la sottrazione di beni elettronici. Questo schema può includere: dati personali (furto di identità) dalla documentazione di dipendenti o clienti; informazioni di natura economica e password; commercio di informazioni riservate e beni aziendali che possono essere venduti alla concorrenza; account di posta elettronica, comprese le rubriche, da utilizzare per gli invii di spam (da fonti apparentemente attendibili); sfruttamento delle risorse dei computer stessi (zombie), che vengono quindi controllati dai criminali a qualunque scopo, dal mailing di spam fino ad ospitare materiali pornografici. Il software che permette questi crimini è classificato come malware. Per quanto il malware sia sempre più preoccupante, esistono modi semplici ed estremamente efficaci per affrontarlo. Ma prima, occorre conoscere il proprio nemico. Il tipico malware è costituito da sei tipologie principali: virus, worm, Trojan, spyware, adware e rootkit. Virus Probabilmente il tipo di malware più noto sono i virus. I virus informatici esistono da decenni, ma la premessa di base è rimasta costante. Pensati in genere per infliggere danni nei confronti dell'utente finale, i virus informatici sono in grado di cancellare un intero disco fisso, rendendo inutilizzabili i dati in pochi attimi. Proprio come i virus biologici si riproducono quando infettano una cellula ospite, i virus informatici spesso si riproducono e diffondono attraverso un sistema infetto. Altri tipi di virus vengono utilizzati per 'cercare e distruggere' tipi di file specifici o porzioni di disco fisso. I criminali che effettuano furti informatici spesso rilasciano un virus sui sistemi violati dopo aver estratto le informazioni desiderati al fine di distruggere prove di valore legale. I virus informatici sono stati inizialmente diffusi attraverso la condivisione di floppy disk infetti. L'evoluzione della tecnologia ha avuto effetto anche sul metodo di distribuzione. Oggi i virus vengono comunemente diffusi attraverso la condivisione di file, download da Internet e allegati di posta elettronica. Per infettare un sistema, il virus deve essere eseguito sul sistema di destinazione; i virus dormienti che non sono stati eseguiti non costituiscono una minaccia immediata. Di solito i virus non presentano scopi legittimi e in alcuni paesi è illegale possederne. Worm 2

3 I worm informatici esistono sin dalla fine degli anni '80, ma non hanno avuto particolare importanza finché le infrastrutture di rete all'interno delle aziende non sono divenute comuni. A differenza dei virus informatici, i worm hanno la capacità di diffondersi attraverso le reti senza alcuna interazione umana. Una volta infettato da un worm, il sistema compromesso inizia la scansione della rete locale nel tentativo di individuare ulteriori vittime. Dopo aver individuato un bersaglio, il worm sfrutta le vulnerabilità del software nel sistema remoto, iniettando del codice dannoso al fine di completare il danno. Per via del metodo di attacco impiegato, i worm riescono a infettare solo i sistemi della rete che hanno in esecuzione sistemi operativi specifici. I worm sono spesso visti più come un fastidio che come una minaccia reale. Tuttavia, essi possono essere utilizzati per diffondere malware di altro genere o infliggere danni ai sistemi di destinazione. Trojan Come i virus, i Trojan richiedono in genere un certo tipo di interazione da parte dell'utente al fine di infettare un sistema. Tuttavia a differenza di molti worm e virus, i Trojan cercano spesso di rimanere inosservati sul sistema ospite compromesso. I Trojan sono piccoli pezzi di codice eseguibile incorporati in un'altra applicazione. In genere il file infetto è un'applicazione utilizzata regolarmente dalla vittima (come Microsoft Word o la calcolatrice di Windows). L'obiettivo è far sì che la vittima esegua inconsapevolmente il codice dannoso lanciando un programma altrimenti innocuo. In pratica, spesso i Trojan infettano un sistema senza provocare alcun tipo di notifica. Esistono diversi tipi di Trojan, ognuno in grado di rispondere a uno scopo diverso. Alcuni Trojan sono progettati appositamente per estrarre i dati sensibili dal sistema infetto: questi tipi di Trojan, in genere, installano dei keylogger o scattano degli screenshot del computer della vittima e trasmettono automaticamente le informazioni a chi ha lanciato l'attacco. Altri tipi di Trojan, più pericolosi, sono i "Trojan di accesso remoto" (RAT, "remote access Trojan"), che prendono il controllo del sistema infetto, aprendo una backdoor attraverso la quale un utente malintenzionato potrà accedere successivamente. I RAT sono utilizzati tipicamente per la creazione di botnet. Spyware/adware Come alcuni tipi di Trojan, lo spyware è utilizzato per raccogliere e trasmettere informazioni sensibili al suo distributore. Di norma, lo spyware non è dannoso di per sé. Tuttavia, spesso è la causa di situazioni fastidiose, poiché tipicamente infettano i browser Web rendendoli pressoché inutilizzabili. Lo spyware è spesso usato per scopi di marketing ingannevoli, come ad esempio attività di monitoraggio degli utenti a loro insaputa. Talvolta lo spyware può essere mascherato da applicazione legittima, fornendo all'utente un qualche beneficio, ma registrandone segretamente i modelli di comportamento e di utilizzo. Come lo spyware, anche l'adware è un fastidio notevole per gli utenti. Di solito, però, non è dannoso per natura. L'adware, come suggerisce il nome, viene in genere utilizzato per diffondere messaggi pubblicitari che forniscono un certo tipo di benefici finanziari al responsabile dell'attacco. Dopo essere stata infettata dall'adware, la vittima viene bombardata di pop-up, barre degli strumenti e altri tipi di pubblicità quando tenta di accedere a Internet. Di solito l'adware non causa danni permanenti a un computer. Tuttavia può rendere il sistema inutilizzabile se non viene rimosso correttamente. Rootkit Probabilmente il tipo più pericoloso di malware sono i rootkit. Come i Trojan di accesso remoto, anche i rootkit forniscono all'aggressore il controllo su un sistema infetto. Tuttavia, a differenza dei Trojan, i rootkit sono estremamente difficili da rilevare o rimuovere. I rootkit vengono tipicamente installati nelle risorse di sistema a basso livello (al di sotto del sistema operativo). Per questo motivo, i rootkit spesso passano inosservati ai tradizionali software antivirus. Una volta infettato da un rootkit, il sistema bersaglio può essere accessibile da un utente malintenzionato che avrà libero accesso al resto della rete. 3

4 Come riconoscere un'infezione Il malware nel traffico di rete o su un computer rende nota la sua presenza in uno dei tre modi seguenti: Una "signature" è una sorta di impronta digitale o modello nel file che può essere riconosciuta da un sistema di sicurezza di rete, come un firewall, anche prima che la minaccia giunga a un computer. Se tale file raggiunge effettivamente un computer, il software antivirus/antimalware sulla macchina dovrebbe individuarlo. Un tipo di file sospetto che si presenta fuori contesto, come un file eseguibile (.exe) o un valore di registro nascosto in un file compresso come un file.zip. Comportamento: anche un rootkit può rivelarsi quando "telefona a casa", ossia quando contatta l'operatore che lo controlla. Se questo comportamento è anomalo, ad esempio in termini di volume di traffico o momento della giornata, può essere indizio di un sistema compromesso. Le misure di sicurezza standard legate ad avere un software antivirus installato e costantemente aggiornato su tutte le macchine permettono di fronteggiare i colpevoli più comuni. Le loro "signature", infatti, ne tradiscono la presenza. Le aziende specializzate nella sicurezza di rete hanno degli "zuccherini" in tutto il mondo, come la rete Collaborative Cross-vector GRID di SonicWALL, che attraggono deliberatamente ogni nuova versione di malware per identificarne la signature e distribuirla con gli aggiornamenti antimalware regolari. Una volta rilevata la signature, il software di sicurezza è in grado di identificare il malware e porvi rimedio non appena si presenta. Le aziende specializzate in sicurezza più sofisticate compiono un passo ulteriore. Ad esempio, la rete GRID di SonicWALL compila un database cloud con tutte le signature delle nuove minacce immediatamente dopo la loro identificazione in ogni parte del mondo. Le appliance di sicurezza SonicWALL, oltre alle decine di migliaia di signature memorizzate in locale, si appoggiano anche a questo database cloud. I file scansionati vengono confrontati con questo database completo di eseguibili dannosi in tempo reale per una protezione ancora più completa. Riconoscere un tipo di file nascosto è leggermente più difficile. Alcune aziende hanno regole globali per quanto riguarda i tipi di file che possono transitare sulla rete. Ad esempio, alcune aziende non permettono la trasmissione di file compressi all'interno del loro firewall. Tuttavia, questo metodo può pregiudicare i normali flussi di traffico. Un approccio più sofisticato e meno invasivo è l'esecuzione di una RFDPI (Reassembly- Free Deep-Packet Inspection) su ogni pacchetto di dati che transita in rete. Questa operazione viene eseguita dalle soluzioni firewall di livello superiore, come SonicWALL, che letteralmente guardano all'interno del carico di dati per verificarne il contenuto. Questo processo individua le minacce nascoste e le rimuove dal flusso. Il comportamento è l'indicatore più difficile da riconoscere. Se qualche forma di malware riesce a passare i controlli, la maggior parte delle persone non ne è consapevole finché le prestazioni della macchina infetta diventano troppo lente o irregolari. I firewall di nuova generazione (NGFW) sono in grado di identificare i comportamenti sospetti prima ancora che giungano a tal punto. Riconoscendo le attività di rete insolite, quali le comunicazioni con un altro paese, un NGFW può aiutare gli amministratori a isolare il malware per la consentirne la rimozione. L'intelligenza di questi sistemi di sicurezza può essere regolata per applicare delle policy relative alle attività di rete, proprio come un'azienda applicherebbe dei regolamenti sul comportamento dei propri dipendenti. Ad esempio, una policy potrebbe consentire l'uso dell'instant messaging, vietare la trasmissione di file con messaggi istantanei. Se non vi è alcuna necessità per una tale attività, il fatto che un computer stia tentando tale comportamento suggerisce che la macchina è controllata da qualcuno che non è un dipendente: un bollino rosso che indica la possibile presenza di malware. Altrettanto importante è il fatto che l'attività pericolosa verrebbe bloccata automaticamente. 4

5 Evitare l'infezione, prima di tutto Come nel caso delle infezioni biologiche, la medicina migliore è la prevenzione. A tal fine, è opportuno ricorrere a idonee misure di sicurezza. I firewall di nuova generazione dotati della funzionalità sopra descritta sono in grado di identificare la stragrande maggioranza dei malware che tentano di entrare nella rete di un'azienda. Essi comprendono gli attacchi che coinvolgono lo spam via , il phishing tramite siti Web falsi e i "drive-by download", che iniettano il malware durante una visita ad un sito apparentemente sicuro. Ciascuno di questi metodi di infezione utilizza un diverso approccio che richiede diversi metodi di identificazione. I NGFW possono applicare tutti questi metodi contemporaneamente da un'unica appliance di sicurezza. Un dispositivo NGFW di alto livello, ad esempio di SonicWALL, offre funzionalità opzionali per identificare le minacce nello spam via , in file nascosti e nei drive-by download in base alle relative signature o al loro comportamento. Quest'ultima categoria, i drive-by download, è particolarmente degna di nota, dal momento che un gran numero di transazioni avviene oggi online, come l'accesso alle informazioni in remoto o gli acquisti. Ciò che si presenta come una transazione legittima sul Web 2.0 può mascherare il passaggio del malware. Una soluzione NGFW affidabile analizza il traffico Internet per individuare esattamente questi tipi di comportamento delle applicazioni. Quando la soluzione di sicurezza utilizza la RFDPI, è sufficiente eseguire una volta la scansione dei file che tentano di entrare nella rete per poter fronteggiare tutte le potenziali minacce. In pratica, il traffico di rete può scorrere più agevolmente, fornendo una migliore esperienza d'uso e una maggiore produttività. Ne consegue un ulteriore vantaggio che permette di sfruttare al meglio una connessione ad alta velocità e, eventualmente, ridurre la necessità di costosa larghezza di banda. Le tecnologie consolidate nei NGFW eliminano inoltre il bisogno di più dispositivi, come firewall, filtri antispam e filtri dei contenuti. Considerati nel loro insieme, si tratta di argomenti economici di grande impatto a favore di un firewall di nuova generazione. Riepilogo Il malware continua ad affliggere il mondo delle reti aziendali. Ma anche se i criminali che creano il malware sono diventati più importanti e più sofisticati, la tecnologia per contrastarli è cresciuta altrettanto. Ora anche le imprese di minori dimensioni possono godere di livelli di protezione che, in sostanza, li vaccina contro molte forme di malware. E queste aziende possono farlo con bassi costi d'implementazione. Riconoscendo la minaccia rappresentata dal malware moderno e implementando una moderna soluzione di sicurezza, il selvaggio mondo del malware può rimanere isolato. E le imprese possono procedere in maniera sicura, efficiente e redditizia. 5

6 Profilo di SonicWALL SonicWALL, Inc. fornisce soluzioni intelligenti per la sicurezza di rete e la protezione dei dati che permettono a clienti e partner, in tutto il mondo, di proteggere, controllare e scalare in modo dinamico le loro reti globali. Basata su una rete condivisa di milioni di punti di contatto globali, SonicWALL Dynamic Security si affida alla rete SonicWALL Global Response Intelligent Defense (GRID) e al Threat Center SonicWALL per garantire un livello costante di comunicazione, feedback e analisi sulla natura e sul comportamento mutevole delle minacce in tutto il mondo I laboratori di ricerca SonicWALL elaborano ininterrottamente queste informazioni, fornendo in modo proattivo strumenti di difesa e aggiornamenti dinamici in grado di contrastare le minacce anche più recenti. Sfruttando la tecnologia proprietaria brevettata Reassembly-Free Deep Packet Inspection in combinazione con un'architettura hardware multicore parallela ad alta velocità, SonicWALL può scansionare e analizzare simultaneamente svariate minacce a velocità wire speed e fornire inoltre l infrastruttura necessaria a supportare la scalabilità dell intera soluzione in implementazioni ad elevata larghezza di banda. Le soluzioni sono disponibili per piccole e medie imprese e per le grandi aziende e vengono implementate con successo in grandi ambienti aziendali, in aziende distribuite e organizzazioni di vario tipo: dagli enti statali alla sanità, dal settore retail/pos fino ai service provider. Per maggiori informazioni: Soluzioni per piccole e medie imprese Soluzioni per grandi aziende Soluzioni per settore Responsabile vendite SonicWALL SonicWALL, Inc. è un marchio registrato di SonicWALL, Inc. I nomi di altri prodotti qui menzionati possono essere marche e/o marchi registrati delle rispettive società. Dati tecnici e descrizioni sono soggetti a modifiche senza preavviso. XXXX_US 6